, 2022/8/31
Jobb biztonság az olyan termékek számára, mint a Golang. A Google nyílt forráskódú projektjeire összpontosító hibajavadalmazási programot vezetett be.
A vállalat nyílt forráskódú projektjei között olyan jól ismert szoftverek szerepelnek, mint a Go nyelv, az Angular webfejlesztői környezet és a Fuchsia operációs rendszer, a megerősített hibákért 100 dollár (147 dollár) és 31 337 dollár (kalapemelés a számológép-nyelven "eleet") közötti összeget kaphatnak felfedezőik.
A fejpénzre jelenleg pályázó további nagyszabású projektek közé tartozik a Bazel építési rendszer és a strukturált adatok szerializálására használt Protocol Buffers.
"A kezdeti bevezetés után tervezzük a lista bővítését" - írta Francis Perron, a Google nyílt forráskódú biztonsági technikai programjának vezetője és Krzysztof Kotowicz információbiztonsági mérnök.
A páros szerint a program jelenlegi állapotában a program fő érdeklődési köre "az ellátási lánc kompromittálódásához vezető sebezhetőségek, a termék sebezhetőségét okozó tervezési problémák, valamint egyéb biztonsági problémák, például érzékeny vagy kiszivárgott hitelesítő adatok, gyenge jelszavak vagy nem biztonságos telepítések".
Az "ellátási lánc veszélyeztetése" magában foglalja "a Google OSS forráskódjának, valamint a csomagkezelőkön keresztül a felhasználók számára terjesztett építési artefaktumoknak vagy csomagoknak a veszélyeztetését".
A termék sebezhetőségek olyan egyszerű problémák, mint a memória sérülése, a szanitizáció hibája, az útvonalak megkerülése, a rossz alapértelmezések, vagy akár a dokumentációban szereplő bizonytalan kódpéldák.
A hibáknak vannak más osztályai is, amelyeket felismernek: érzékeny hitelesítő adatok, gyenge jelszavak harmadik féltől származó termékekben, vagy olyan telepítési és használati utasítások, "amelyek veszélyeztetik a terméken dolgozó fejlesztők biztonságát".
A Google felismeri a nyílt forráskódú projektek alapját képező függőségeket, ezért a harmadik féltől származó sebezhetőségeket kifejezetten a program hatálya alá vonja.
Mindaddig, amíg a kutató értesíti a harmadik féltől származó csomag karbantartóját, a Google elfogadja a sebezhetőséget, ha az a Google nyílt forráskódú csomagjában kiváltható vagy kihasználható; és legkorábban 30 nappal az upstream javítás rendelkezésre állását követően kerül megosztásra.
A harmadik fél által nyújtott "szolgáltatások vagy platformok" azonban nem tartoznak a hatókörbe.
Három projektszint van, amelyek a következő projekteket foglalják magukban: kiemelt projektek (Bazel, Angular, Golang, Protocol buffers és Fuscia); standard OSS projektek; és alacsony prioritású OSS projektek (ezek lehetnek kísérleti, minta, kis vagy alacsony aktivitású projektek).